jueves, 16 de mayo de 2013

Faceblack y TwitterBlack: Miles de seguidores en dos clics, en Twitter y Facebook

Bueno, hace no mucho tiempo comente que existía una técnica muy sencilla pero  peligrosa para aumentar el numero de seguidores de forma espectacular. También dije que esa técnica era peligrosa y tenia consecuencias, no en vano advertí que quien las usara podía perder su cuenta de Facebook o también si fuera el caso la de Twitter. Esas técnica ya se están usando como parte de las técnicas que ofrecen los SEO, y no son algo novedoso, así que voy a  explicar como se puede conseguir aumentar el numero de seguidores y de repente tener 10.000 seguidores en alguna de las dos grandes redes sociales: Facebook, o Twitter. Primero de todo debéis empezar a familiarizarse con dos conceptos que son usados continuamente por investigadores, hacker, y “otros usuarios”. Se trata de Google Hack, y también Google Dorks. Voy a explicar de forma sencilla ambas cosas para que se entienda bien y así los que quieran empezar en este mundillo de las búsquedas puedan saber exactamente que es y como funciona.


Google Hack

Google Hack es un conjunto de comandos de texto “específicos insertados en la barra de navegación o del propio buscador” que pueden forzar al buscador Google a que ejecute operaciones efectivas (busque lo que no debería de poder encontrar en una búsqueda normal) cosas que en una simple búsqueda no están a la vista de cualquiera. Estas búsquedas son efectivas en el sentido de que el propio buscador Google no puede realizar una tabla exacta de comandos de búsqueda y por tanto no puede saber que tipo de comandos de texto dan lugar a ciertos resultados no predecibles. Cuando digo predecibles me refiero a que Google no tenia previsto que insertando esa secuencia de comandos en su barra de navegación o en el cajetín de búsquedas, esa secuencia, condujera a un resultado que no debiera de producirse, ¿creo que esta bien explicado, verdad?. De hecho, cuando Google considera que un comando permite llegar a una área sensible que pone en riesgo algún sistema, suele inhabilitarlo y dejarlo sin la funcionalidad y ese Dork se pierde y se torna inútil, como ocurrirá a largo plazo con los que yo presento aquí.


Google Dorks

Google Dorks son precisamente las singulares combinaciones de comandos que usan los usuarios para practicar búsquedas mas allá de lo que a simple vista permiten las operaciones normales del buscador Google. Por tanto un Dorker, o un Google Hack, seria un usuario que desarrolla esa sintaxis tan especifica de comandos y los usa en combinaciones únicas, que pocos o nadie sabe usar. Esta cultura de los Dorkers esta discretamente extendida por la red, de hecho si colocáis entre comillas “Google Dorks” os saldrán bastantes paginas con estas sintaxis únicas que luego los Dorkers comparten en foros y paginas para que otros las exploten, y por eso también lo llaman “Exploits de Google Hack. Y de eso precisamente va el asunto, son micro Exploits de sintaxis, una combinación escrita en un orden muy concreto que produce un fallo y fuerza al sistema a entregar un resultado que en condiciones normales no entregaría. 


¿Que alcance tienen estas técnicas? Normalmente ciertas informaciones que hay almacenadas en internet permanecen en secciones transversales, es decir, que para encontrar esa información hay que descender uno o varios directorios, precisamente colocando la barra transversal / seguida de algún comando. Es mas fácil de hacer que de decir realmente. Aquí os dejo un sitio http://www.exploit-db.com/ donde podréis ver  los últimos “Exploits de Google Dorks” que publican los Dorker. Pero también podéis crear los vuestros, como yo mismo he creado un par para que veáis los potentes efectos que producen en una búsqueda.

Conseguir archivos CSV

Por ejemplo, aquí os dejo un par de capturas de pantalla para ver archivos XLS y CSV con los contactos y también con sus correspondientes pasword. He subido una par de vídeos de un minuto donde se ve lo fácil que es hacer esto. Insertáis estos Google Dorks que yo he usado en el vídeo demostrativo y en el cajetín de búsquedas tal como veis en la foto:
 

 
 
 



"login: *" "password: *" filetype:xls -

contacs @hotmail.com filetype:xls

contacs @hotmail.com filetype:csv


 
 
 
Por supuesto, ya advierto que no me hago responsable de nada. Esta información la ofrezco como solo como propuesta informativa y de como se usa esto para que sepáis de que va el asunto. Una nota que todos los que tienen una empresa y quieren promocionar su web rápidamente y recurren al Black SEO, es que algunos SEO ofrecen incrementar tus contactos rápidamente a cambio de una importante suma de dinero (De 1000 euros para arriba) pero no te dicen como lo hacen y no te dan detalles exactos de donde sacan los contactos, ni tampoco del origen de como consiguen que tu tengas 1000 contactos en la red social en solo una hora. En realidad esos “Black SEO” (No todos los SEO, claro) pueden usar este tipo de sucio truco y venderlo sin decir que eso es la caja de pandora.


Una vez encontráis los archivos xls y csv, lo único que tenéis que hacer es descargarlos a vuestro PC. Con los archivos descargados, comprobáis si contienen listas de emails. ¡Atentos los que usáis Windows a que los xls y los csv no contengan virus o macros peligrosas! Por lo general encontrareis listas útiles de mas de 25 emails, y con suerte alguna lista con mas de 1000 direcciones de correo electrónico. Ahora, entráis en vuestra cuenta de correo y los agregáis como contactos “importándolos” (Importar contactos desde lista csv o xls) y luego, desde Twitter y Facebook, los exportáis con la función “encontrar contactos” para que los registre como nuevos contactos, cosa que subirá enormemente. Si no sabéis como exportar una lista de contactos desde Gmail, Hotmail, Outlook, etc,  hacia otros proveedores y hacia el Facebook y el Twitter, es mejor que busquéis información de como se hace ese proceso, aquí menciono los detalles mas básicos pero tampoco voy a ofrecer capturas de pantalla para eso porque creo que se entiende bien. Y si no se entiende, buscáis Google como se pueden exportar esos archivos csv y xls. Además, ya he advertido de los riegos, y de que puede suceder, así que considerad que estáis “notificados por adelantado” y que este post es un informe para entender el proceso técnico y lo que hagas mas allá sera bajo tu responsabilidad.

Por ejemplo, te bajas un CSV y lo añades a tu cuenta de correo y de repente os encontrareis con 1000 contactos, vaya, que bien, fenomenal, ¡pero cuidado! Eso supone que de repente si agregas 1000 direcciones de contacto, cualquiera de los usuarios de esa lista puede enviarte un mensaje preguntándote como es que estas en su lista de contactos de Twitter o de Facebook, ¿qué le dirás? Claro, alguna explicación deberás de dar, quiza con ingenieria social... Eso supone que si le das una explicación tendrá que ser razonable, y si no la das, ellos mismos por pura desconfianza te bloquearan después de preguntarte ¿Tu quien eres?. El resto puede preguntar o no, o puede bloquearte o no dependiendo de que historia les cuentes y si les convences. Eso es asunto tuyo y de tu habilidad. Recuerda que solo explico el proceso, pero nada mas. 


De todos modos dos cosas muy importantes. La primera que exportar contactos a tu cuenta de correo y después llevarlos a tus cuentas Facebook (Haciendo FaceBlack) o a tu cuenta Twitter (Haciendo TwitterBlack) podría darte problemas. Como todas las cosas si abusas y metes en un corto periodo de tiempo 3000 contactos, eso podría levantar sospechas en Tiwtter y en Facebook y darte problemas con las políticas de Facebook y de Twitter, que podrían cancelar tu cuenta sin decirte nada. Así que si pones a prueba estas técnicas, puedes ganarlo o puedes perderlo todo; el riesgo existe, eso que quede claro.


Lo segundo es que capturar estos archivos y usarlos sin permiso podría suponer otro problema. Yo no entro en debatir si su descarga y uso es legal o ilegal, es algo relativo que son archivos que no están totalmente protegidos pero tampoco tienes permiso expreso de nadie, pero tampoco la prohibición expresa de nadie. Existe el riesgo de que cuando haces Google Dork y utilizas estos “Exploits” en busca de brechas; si accedes a la descarga del archivo o simplemente ciclas por curiosidad el link, dejaras tu IP al descubierto. Si, claro, ¿que te creías, que podías ir a bajarte a destajo una montaña de archivos como estos y que nadie se podría enterar en algún momento?


Como es lógico en caso de problemas tu IP podría ser rastreada y finalmente podrían encontrarte. Recuerda que son archivos de correos electrónicos, algunos pueden ser de compañías privadas o de organismos del Gobierno (Si, claro, es que el Gobierno a veces también se olvida de la seguridad y deja ver estas bases de datos a los Dorkers, esto es un guiño para que sus administradores cheken si son vulnerables a estos Dorks), que podrían sentirse molestos y investigar la conexión (Día y hora, IP, ISP, y finalmente llamar a la puerta de tu casa si has liado un buen follón.


En fin, ya veis como de sucios y retorcidos pueden ser estos trucos de Faceblack y también porque no, los de TiwtterBlack. Espero que sirva para el aprendizaje pero no para que alguien pierda la cabeza y se monte un Facebook con 300.000 seguidores, sin duda eso llamara demasiado la atención de los que administran las redes sociales...

LinkWithin

Related Posts Plugin for WordPress, Blogger...